Condividi tramite

Informazioni sull'accesso condizionale

  • Articolo

La sicurezza moderna si estende oltre il perimetro di rete di un'organizzazione per includere l'identità di utenti e dispositivi. Le organizzazioni ora usano questi segnali di identità durante il processo decisionale relativo al controllo di accesso. L'accesso condizionale di Microsoft Entra riunisce i segnali per prendere decisioni e imporre i criteri dell'organizzazione. L'accesso condizionale è il motore dei criteri Zero Trust di Microsoft che prende in considerazione i segnali provenienti da varie origini quando si applicano decisioni sui criteri.

Diagramma che mostra il concetto di segnali di accesso condizionale e la decisione di applicare i criteri dell'organizzazione.

I criteri di accesso condizionale nella loro forma più semplice sono istruzioni if-then - if un utente vuole accedere a una risorsa, then deve completare un'azione. Ad esempio: se un utente vuole accedere a un'applicazione o a un servizio come Microsoft 365, deve eseguire l'autenticazione a più fattori.

Gli amministratori devono raggiungere due obiettivi primari:

  • Fare in modo che gli utenti siano produttivi sempre e ovunque
  • Proteggere gli asset dell'organizzazione

Usare i criteri di accesso condizionale per applicare i controlli di accesso corretti quando necessario per proteggere l'organizzazione.

Importante

I criteri di accesso condizionale vengono applicati dopo il completamento del primo fattore di autenticazione. L'accesso condizionale non è destinato a essere usato come prima misura di difesa di un'organizzazione per attacchi Denial of Service (DoS), ma può usare i segnali provenienti da questi eventi per determinare l'accesso.

Segnali comuni

L'accesso condizionale prende in considerazione i segnali provenienti da varie origini quando si prendono decisioni di accesso.

Diagramma che mostra l'accesso condizionale come motore dei criteri Zero Trust aggregando i segnali provenienti da varie origini.

Questi segnali includono:

  • Utente o appartenenza a un gruppo
    • I criteri possono essere destinati a specifici utenti e gruppi offrendo agli amministratori un controllo granulare dell'accesso.
  • Informazioni sugli indirizzi IP
    • Le organizzazioni possono creare intervalli di indirizzi IP attendibili da usare per prendere decisioni sui criteri.
    • Gli amministratori possono specificare interi paesi o aree geografiche da cui bloccare o consentire il traffico.
  • Dispositivo
    • Per applicare i criteri di accesso condizionale, è possibile considerare utenti con dispositivi di specifiche piattaforme o contrassegnati con uno stato specifico.
    • Usare i filtri per i dispositivi per assegnare criteri a dispositivi specifici, ad esempio workstation con accesso con privilegi.
  • Applicazione
    • Gli utenti che tentano di accedere ad applicazioni specifiche possono attivare criteri di accesso condizionale diversi.
  • Rilevamento dei rischi in tempo reale e calcolato
    • L'integrazione dei segnali con Microsoft Entra ID Protection consente ai criteri di accesso condizionale di identificare e correggere gli utenti rischiosi e il comportamento di accesso.
  • Microsoft Defender for Cloud Apps
    • Consente di monitorare e controllare in tempo reale l'accesso alle applicazioni e le sessioni dell'utente. Questa integrazione aumenta la visibilità e il controllo sull'accesso alle attività eseguite all'interno dell'ambiente cloud.

Decisioni comuni

  • Bloccare l'accesso
    • Decisione più restrittiva
  • Concedere l'accesso
  • Decisione meno restrittiva che può richiedere una o più delle opzioni seguenti: - Richiedere l'autenticazione a più fattori - Richiedi livello di autenticazione - Richiedere che il dispositivo sia contrassegnato come conforme - Richiedi l'aggiunta ibrida di Microsoft Entra al dispositivo - Richiedi l'app client approvata - Richiedi criteri di protezione delle app - Richiedi modifica della password - Richiedi condizioni per l'utilizzo

Criteri applicati comunemente

Molte organizzazioni hanno problemi di accesso comuni che i criteri di accesso condizionale possono aiutare a risolvere, come:

  • Richiesta dell'autenticazione a più fattori per gli utenti con ruoli amministrativi
  • Richiesta dell'autenticazione a più fattori per le attività di gestione di Azure
  • Blocco degli accessi per gli utenti che tentano di usare protocolli di autenticazione legacy
  • Richiesta di posizioni attendibili per la registrazione delle informazioni di sicurezza
  • Blocco o concessione dell'accesso da posizioni specifiche
  • Blocco dei comportamenti di accesso rischiosi
  • Richiesta di dispositivi gestiti dall'organizzazione per applicazioni specifiche

Gli amministratori possono creare criteri da zero o iniziare da un criterio modello nel portale o usando l'API Microsoft Graph.

Esperienza amministratore

Gli amministratori con il ruolo Amministratore accesso condizionale possono gestire i criteri.

L'accesso condizionale si trova nell'interfaccia di amministrazione di Microsoft Entra in Protezione>Accesso condizionale.

Screenshot che mostra la pagina di panoramica dell'accesso condizionale.

  • La pagina Panoramica fornisce un riepilogo dello stato dei criteri, degli utenti, dei dispositivi e delle applicazioni, nonché degli avvisi generali e di sicurezza con suggerimenti.
  • La pagina Copertura fornisce un riepilogo delle applicazioni con e senza copertura dei criteri di accesso condizionale negli ultimi sette giorni.
  • La pagina Monitoraggio consente agli amministratori di visualizzare un grafico degli accessi che può essere filtrato per visualizzare potenziali lacune nella copertura dei criteri.

I criteri di accesso condizionale nella pagina Criteri possono essere filtrati dagli amministratori in base a elementi come l'attore, la risorsa di destinazione, la condizione, il controllo applicato, lo stato o la data. Questa capacità di filtro consente agli amministratori di trovare criteri specifici in base alla configurazione in modo rapido.

Requisiti di licenza

L'uso di questa funzionalità richiede le licenze di Microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.

Anche i clienti con licenze Premium di Microsoft 365 Business possono accedere alle funzionalità di accesso condizionale.

I criteri basati sul rischio richiedono l'accesso a Microsoft Entra ID Protection, che richiede licenze P2.

Per altri prodotti e funzionalità che interagiscono con i criteri di accesso condizionale sono richieste licenze appropriate.

Quando le licenze necessarie per l'accesso condizionale scadono, i criteri non vengono disabilitati o eliminati automaticamente. In questo modo i clienti eseguono la migrazione dai criteri di accesso condizionale senza un improvviso cambiamento nel comportamento di sicurezza. I criteri rimanenti possono essere visualizzati ed eliminati, ma non più aggiornati.

Le impostazioni predefinite per la sicurezza consentono di proteggersi da attacchi correlati all'identità e sono disponibili per tutti i clienti.

Zero Trust

Questa funzionalità consente alle organizzazioni di allineare le proprie identità ai tre principi guida di un'architettura Zero Trust:

  • Verificare in modo esplicito
  • Usare privilegi minimi
  • Presunzione di violazione

Per altre informazioni su Zero Trust e altri modi per allineare l'organizzazione ai principi guida, fare riferimento allo Zero Trust Guidance Center.

Passaggi successivi